Што вам трэба ведаць аб чарвяку Stuxnet
Stuxnet з'яўляецца кампутарны чарвяк, які накіраваны тыпы прамысловых сістэм кіравання (ICS), якія звычайна выкарыстоўваюцца ў інфраструктурных аб'ектаў, якія падтрымліваюць (г.зн. электрастанцый, ачышчальных збудаванняў, газавых ліній, і г.д.).
Чарвяк часта кажуць, быў упершыню выяўлены ў 2009 ці 2010 годзе, але на самой справе ўстаноўлена, што напалі на ядзерную праграму Ірана яшчэ ў 2007 годзе тыя дні, Stuxnet быў знойдзены ў асноўным у Іране, Інданэзіі і Індыі, што складае больш за 85% усіх інфекцый.
З тых часоў, чарвяк закранула тысячы кампутараў у многіх краінах, нават цалкам руйнуюць некаторыя машыны і знішчыць большую частку ядзерных цэнтрыфуг Ірана.
Што такое Stuxnet ці што?
Stuxnet прызначаны для змены праграмуемых лагічных кантролераў (ПЛК), якія выкарыстоўваюцца ў гэтых установах. У асяроддзі ICS, ПЛК аўтаматызацыі задач прамысловага тыпу, такія як рэгулююць хуткасць патоку для падтрымання ціску і тэмпературы кіравання.
Ён пабудаваны толькі распаўсюдзіўся на трох кампутарах, але кожны з іх можа распаўсюджвацца на тры іншых, якія, як яна распаўсюджваецца.
Яшчэ адна з яго характарыстык з'яўляецца распаўсюджванне прылад у лакальнай сеткі, якія не падлучаныя да Інтэрнэту. Напрыклад, ён можа перайсці да аднаго кампутара праз USB , але затым распаўсюдзіўся на некаторыя іншыя прыватныя машыны ззаду маршрутызатара , якія не створаны для дасягнення знешніх сетак, эфектыўна выклікаючы прылады ўнутранай сеткі , каб заразіць адзін сябар.
Першапачаткова Stuxnet ў драйверы прылад былі падпісаныя лічбавым подпісам , бо яны былі скрадзеныя з законных сертыфікатаў , якія прымяняюцца да JMicron і Realtek прылад, што дазволіла яму лёгка ўсталяваць сябе без якіх - небудзь падазроных запытаў да карыстача. З тых часоў, аднак, VeriSign адклікаў сертыфікаты.
Калі вірус трапляе на кампутар, які не ўсталяваны правільна праграмнае забеспячэнне Siemens, ён будзе заставацца бескарысным. Гэта адно істотнае адрозненне паміж гэтым вірусам і іншымі, у тым, што ён быў пабудаваны для вельмі канкрэтнай мэты і не «хоча» зрабіць што-небудзь гідкае на іншых машынах.
Які Stuxnet Reach PLCs?
Па меркаваннях бяспекі, многія з апаратных прылад, якія выкарыстоўваюцца ў прамысловых сістэмах кіравання не падлучанага да сеткі Інтэрнэт (і часта нават не падлучаны да лакальнай сеткі). Каб супрацьстаяць гэтаму, чарвяк Stuxnet ўключае ў сябе некалькі складаных спосабаў распаўсюджвання з мэтай у канчатковым выніку дасягнуць і інфікаваць STEP 7 файлы праекта, якія выкарыстоўваюцца для праграмавання PLC прылад.
Для мэт першапачатковага распаўсюджвання чарвяк нацэлены на кампутары , якія працуюць пад кіраваннем аперацыйных сістэм Windows, і , як правіла , робіць гэта праз флэш - назапашвальнік . Аднак сама PLC не з'яўляецца сістэма на базе Windows, а запатэнтаванае прылада машыннага мовы. Таму Stuxnet проста траверсы кампутараў Windows, для таго, каб дабрацца да сістэм, якія кіруюць ПЛК, на якім ён робіць яго карыснай нагрузкі.
Для перапраграмавання PLC, чарвяк Stuxnet шукае і заражае STEP 7 файлаў праекта, якія выкарыстоўваюцца Siemens SIMATIC WinCC, дыспетчарскага кіравання і збору даных (SCADA) і сістэмы чалавечага-машынны інтэрфейс (HMI) выкарыстоўваецца для праграмавання ПЛК.
Stuxnet змяшчае розныя працэдуры, каб вызначыць канкрэтную мадэль PLC. Гэтая праверка мадэлі неабходна таксама інструкцыі на ўзроўні машыны будзе вар'іравацца ў залежнасці ад розных прылад ПЛК. Пасля таго, як мэтавае прылада было ідэнтыфікавана і заражаны, Stuxnet атрымлівае кантроль перахопліваць паток ўсіх дадзеных у або з ПЛК, у тым ліку магчымасць фальсіфікаваць з гэтымі дадзенымі.
Імёны Stuxnet Goes By
Ніжэй прыведзены некалькі спосабаў, антывірусная праграма можа ідэнтыфікаваць чарвяк Stuxnet:
- F-Secure: Trojan-Dropper: W32 / Stuxnet
- Касперскі: Rootkit.Win32.Stuxnet.b або Rootkit.Win32.Stuxnet.a
- McAfee: Stuxnet
- Norman: W32 / Stuxnet.A
- Кампанія Sophos: Troj / Stuxnet-А ці W32 / Stuxnet-B ,
- Symantec: W32.Temphid
- Trend Micro: WORM_STUXNET.A
Stuxnet можа таксама мець некаторыя «сваяк» , якія ідуць мае імёны , як Duqu або полымя .
Як выдаліць Stuxnet
Бо праграмнае забеспячэнне Siemens з'яўляецца тое, што пад пагрозу, калі кампутар заражаны Stuxnet, вельмі важна, каб звязацца з імі, калі ёсць падазрэнне на інфекцыю.
Таксама запусціць поўную праверку сістэмы з дапамогай антывіруснай праграмы, як Avast або AVG, або антывірусны сканар па патрабаванню, такія як Malwarebytes.
Гэта таксама неабходна падтрымліваць у актуальным для Windows , якія можна зрабіць з дапамогай Цэнтра абнаўлення Windows .
См Як правільна сканаваць ваш кампутар на наяўнасць шкоднасных праграм , калі вам патрэбна дапамога.